電気通信事業法(25)

   不正アクセス行為の禁止等に関する法律   #印:警察庁の解説より
 
第1条(目的)
  この法律は、不正アクセス行為を するとともに、これについての 及び
 その のための都道府県 による 等を定めることにより、
 電気通信回線を 行われる電子計算機に係る 及び
 アクセス により実現される電気通信に関する
 図り、もって高度情報通信 する
 ことを目的とする。
 
第2条(定義)
  この法律において「アクセス 」とは、電気通信 している
 電子計算機の につき当該特定電子計算機の する者をいう。

  *電気通信回線に接続している電子計算機 = 特定電子計算機
  *特定電子計算機を電気通信回線を通じて行う利用 = 特定利用  という。

# 企業・学校等法人がコンピュータを運用している場合、その職員の中からシステム管理者
   を任命して「管理」の業務を行わせていますが、本法でいうアクセス管理者は、これらの
   システム管理者ではなく、あくまで当該法人自体ということになります。

  # 特定電子計算機という概念には、一部の企業内LANのように外部から独立した
   ネットワークを構築しているコンピュータも含まれます。したがって、アクセス管理者には、
   外部から独立している企業内LANを有している企業なども含まれることになります。


2 この法律において「識別符号」とは、
 特定電子計算機の特定 をすることについて当該特定 に係る
 アクセス管理者の を得た者  及び  当該アクセス管理者に、

 *上記許諾されたもの=利用権者  これとアクセス管理者=利用権者等 という

 当該アクセス管理者において当該利用権者等を 利用権者等と
  して することができるように

 付される であって、
 次のいずれかに該当するもの  又は
 次のいずれかに該当する符号とその他の もの をいう。

(1)当該アクセス管理者によってその をみだりに第三者に ては
  ならないものとされている

 # 一般によく用いられているID・パスワードのうちのパスワードがこの代表例です。
  なお、ID・パスワードの場合、パスワードのみでは識別符号の用をなさず、IDと
  組み合わせて初めて識別符号としての役割を果たすことになります。


(2)当該利用権者等の の全部若しくは一部の 又は を用いて
  当該アクセス管理者が定める により される符号

(3)当該利用権者等の を用いて当該アクセス管理者が定める方法により作成される符号

 # 影像:指紋や虹彩など。
   方法:どのように数値化し符号化するかといったこと。既存の製品等を採用したものでよい。


3 この法律において「アクセス制御機能」とは、
 
 特定電子計算機の するために
 
 当該特定利用に係るアクセス管理者によって
 
 当該特定電子計算機  又は
 当該特定電子計算機に電気通信 を介して された
  特定電子計算機に

 付加されている であって、

 当該特定利用をしようとする者により
 当該機能を有する特定電子計算機に された
 当該特定利用に係る であることを して、

 当該特定利用の の全部又は一部を するものをいう。
 
 # 企業等のネットワークの内部に接続されるいわゆる サーバのようなシステムで
  あっても、 いわゆる ・サーバのように企業等のネットワークの入り口
  に1台のコンピュータを設置してアクセス制御を一元的に行わせているようなシステムであっても
  よいことになります。

 # 「識別符号を用いてアクセス管理者の定める方法により作成される符号と当該識別符号の一部を
  組み合わせた符号」とは、公開鍵暗号方式を用いて利用権者等の認証を行っている場合に入力される、
  認証機関が発行する利用権者等の電子 (公開鍵証明書、ディジタル証明書ともいい、
  ID情報、公開鍵情報を含んだものです。)と利用権者等の秘密鍵を用いて生成された
電子 とを たもの等を指しています。


第3条(不正アクセス行為の禁止)
  何人も、不正アクセス をしてはならない。

2 前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。

 (1)アクセス制御 を有する特定電子計算機に電気通信回線を
   当該アクセス制御機能に係る を入力して
   当該特定電子計算機を させ、当該アクセス制御機能により
   されている特定利用をし得る にさせる行為(当該アクセス制御機能を
   付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る
   利用権者の を得てするものを除く。)

 # 利用権者等の行う場合は禁止の対象から除外しています。
   これは、正当な利用形態(例えば、コンピュータの ・チェックを実施
   する場合や、会社の同僚に対して自分の代わりに電子メールが着信していないかどうかの
   チェックを依頼する場合など。)が考えられるためです。

 (2)アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制
  御機能による特定利用の ことができる
 (識別符号であるものを除く)又は を入力して当該特定電子計算機を
  させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を
  付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。
  次号において同じ。)

# いわゆるセキュリティ・ を攻撃する行為です。

 (3)電気通信回線を介して接続された 特定電子計算機が有するアクセス
   制御機能によりその特定利用を されている特定電子計算機に電気通信回線
   を通じてその制限を免れることができる情報又は指令を して当該特定電子計算機
   を作動させ、その制限されている特定利用を 状態にさせる行為

 # いずれも「電気通信回線を通じて」行われるものに限定されています。
  したがって、スタンドアロンのコンピュータを無断で使用する行為や、ネットワークに接続され
  アクセス制御機能により特定利用が されているコンピュータであっても
  当該コンピュータの (コンソール)を直接操作して無断で使用する行為は、
  該当 こととなります。


第4条(不正アクセス行為を助長する行為の禁止)
  何人も、アクセス制御機能に係る他人の識別符号を、
 その識別符号が 特定電子計算機の特定利用に係るものであるかを して、
 又は これを 者の求めに応じて、

 当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者 の者に
 提供
してはならない。

 ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の
 承諾を得てする場合は、この限りでない。

第5条(アクセス管理者による防御措置)
  アクセス制御機能を特定電子計算機に したアクセス管理者は、

 当該アクセス制御機能に係る識別符号
 又は これを当該アクセス制御機能により するために用いる符号

 の に努めるとともに、
 常に当該アクセス制御機能の し、
 必要があると認めるときは速やかにその
 その他当該特定電子計算機を不正アクセス行為から するため必要な措置を
 講ずるよう努めるものとする。
 
第6条(都道府県公安委員会による援助等)
  都道府県公安委員会は不正アクセス行為が と認められる場合において、

 当該不正アクセス行為に係る特定電子計算機に係るアクセス から、
 その を防止するため、
 当該不正アクセス行為が行われた際の当該特定電子計算機の
 及び その他の参考となるべき事項に関する その他の を添えて、
  を受けたい旨の があり、その申出を と認めるときは、

 当該アクセス管理者に対し、
 当該不正アクセス行為の 又はこれが行われた に応じ
 当該特定電子計算機を不正アクセス行為から防御するため必要な
  に講じられるよう、

 必要な の提供、 その他の援助を行うものとする。

2 都道府県公安委員会は、前項の規定による援助を行うため必要な
  の全部又は一部を国家公安委員会規則で定める者に することができる。

  事例分析 = 当該援助に係る不正アクセス行為の手口、それが行われた原因等に関する
         及び を行うこと

3 前項の規定により都道府県公安委員会が委託した事例分析の実施の事務に
 した者は、その実施に関して知り得た を漏らしてはならない。

4 前3項に定めるもののほか、第一項の規定による援助に関し必要な事項は、国家公安委員会規則
 で定める。

第7条  公安委員会、 及び は、
 アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に ため、
 毎年少なくとも一回、不正アクセス行為の 及びアクセス制御機能に関する
  の状況を するものとする。

2 前項に定めるもののほか、 は、アクセス制御機能を有する特定電子計算機の
 不正アクセス行為からの防御に関する 及び の普及に
 努めなければならない。
 
第8条(罰則)
  次の各号の一に該当する者は、 年以下の懲役又は 万円以下の
 罰金に処する。

 (1) 第三条第一項の規定に違反した者(=不正アクセスの行為をした者)
 (2) 第六条第三項の規定に違反した者(事例分析に従事した者が秘密を漏らしたとき)

第九条 第四条の規定(不正アクセス行為を助長する行為の禁止)に違反した者は、
  万円以下の罰金に処する。

   附 則(略)